เว็บเซิร์ฟเวอร์โหมดเคอร์เนล: การเพิ่มประสิทธิภาพที่ฉลาดหรือฝันร้ายด้านความปลอดภัย?

ฉันอ่านเธรด Hacker Newsที่ผู้ใช้รายหนึ่งโพสต์ลิงก์จาก 2011 อธิบายว่าIIS เร็วกว่าเว็บเซิร์ฟเวอร์ (* nix) ส่วนใหญ่ ตอบกลับผู้ใช้คนอื่นอธิบายว่า IIS ได้รับประโยชน์ที่โดยมีเคอร์เนลโมดูลที่เรียกว่า HTTP.sys ตามความรู้ของฉันเว็บเซิร์ฟเวอร์ยอดนิยมอื่น ๆ ส่วนใหญ่ในปี 2015 ไม่ได้ทำเช่นนี้

ฉันจะไม่ต้องการเขียนเว็บเซิร์ฟเวอร์ในโหมดเคอร์เนลเพราะฉันไม่สามารถเชื่อใจตัวเองได้ว่าจะทำให้ปราศจากช่องโหว่ด้านความปลอดภัย (ซึ่งจะทำงานน้อยลงในวงแหวนป้องกันที่ต่ำกว่า)

จากมุมมองของวิศวกรซอฟต์แวร์ (เมื่อเทียบกับลูกค้าสำหรับเว็บเซิร์ฟเวอร์) การทำงานในโหมดเคอร์เนลเป็นการตัดสินใจที่มีประสิทธิภาพหรือไม่? ความกังวลด้านความปลอดภัยสามารถลดลงในการพัฒนาแอปพลิเคชันจนถึงจุดที่ทำให้เซิร์ฟเวอร์โหมดเคอร์เนลเป็นกำไรสุทธิสำหรับผู้บริโภคได้หรือไม่?

Http.sys ไม่ใช่เว็บเซิร์ฟเวอร์ในฐานะผู้ส่งต่อพร็อกซี มันออกแบบมาเพื่ออนุญาตให้เว็บเซิร์ฟเวอร์หลายตัวมีอยู่บนกล่อง Windows ดังนั้นคุณสามารถให้ IIS ใช้งานเว็บไซต์ได้ แต่ยังมีบริการ WCF หลายตัวที่ทำงานด้วยอินเตอร์เฟส HTTP / REST หรือ SOAP ทั้งหมดบนพอร์ตมาตรฐาน 80 (นี่คือเหตุผลที่คุณ ไม่สามารถเรียกใช้ Apache บน Windows โดยไม่มีการกระตุกเล็กน้อย Apache ไม่ได้รับการแก้ไขให้ทำงานกับระบบการลงทะเบียนนี้ได้เนื่องจากมันไม่ได้ทำให้แอพพลิเคชั่นมีความโปร่งใสมากขึ้น

วิธีการทำงานคือคุณลงทะเบียน URL ด้วยและแอพพลิเคชั่นที่เกี่ยวข้องตอบเมื่อมีการร้องขอ HTTP ในพอร์ต 80, http.sys ยอมรับ แต่จะส่งคำร้องขอไปยังแอปพลิเคชันที่ลงทะเบียนเพื่อจัดการกับเป้าหมาย URL นั้น

ฉันสงสัยว่าเว็บเซิร์ฟเวอร์ในโหมดเคอร์เนลไม่มีเหตุผล - แม้ว่าประสิทธิภาพของซ็อกเก็ตจะได้รับการปรับปรุงด้วยวิธีนี้เพื่อที่จะทำงานที่มีประโยชน์ใด ๆ ตรรกะของแอปพลิเคชันจะยังคงถูกดำเนินการในพื้นที่ของผู้ใช้ เพิ่งขยับมันไปตาม callstack นิดหน่อย

Http.sys ไม่ได้เป็นโหมดเคอร์เนลเว็บเซิร์ฟเวอร์เดียวที่มีอยู่: ภายใต้ Linux นอกจากนี้ยังมีทักซิโด ตามที่คุณระบุไว้อย่างถูกต้องความปลอดภัยเป็นเรื่องเกี่ยวกับเซิร์ฟเวอร์ประเภทนี้ซึ่งนำไปสู่ ​​tux ที่ไม่ได้รวมอยู่ในเคอร์เนล mainline linux (และฉันเชื่อว่าไม่ได้รับการอัพเดตสำหรับเคอร์เนลเวอร์ชันล่าสุด)

ทางออกที่ดีกว่าคือการใช้ระบบปฏิบัติการที่ไม่ต้องอาศัยการป้องกันฮาร์ดแวร์ในการบังคับใช้กระบวนการรักษาความปลอดภัยเช่นเอกพจน์ของ Microsoft: ระบบดังกล่าวจะช่วยให้ประสิทธิภาพเพิ่มขึ้นของเซิร์ฟเวอร์โหมดเคอร์เนลโดยไม่มีความเสี่ยงด้านความปลอดภัย น่าเสียดายที่ไม่มีระบบปฏิบัติการที่พร้อมใช้งานจริงบนพื้นฐานของหลักการนี้ในปี 2558 และไม่มีใคร AFAIK ทำงานอย่างจริงจังกับระบบใดโครงการหนึ่ง (โครงการเอกพจน์ถูกยกเลิก)

Http.sys มีความเสี่ยงต่ำเนื่องจากไม่สามารถเรียกใช้การรับมือใด ๆ จากบุคคลที่สามได้

Http.sys ทำงานบางอย่าง

• มันทำหน้าที่เป็นผู้ส่งต่อพร็อกซีดังนั้นการอนุญาตให้หลายกระบวนการตอบสนองต่อการร้องขอไปยังส่วนต่าง ๆ ของพื้นที่ชื่อ HTTP คำตอบ gbjbaanb ครอบคลุมดีนี้

• มันทำหน้าที่ไฟล์คงที่โดยตรงจากแคชไฟล์ windows สิ่งนี้ให้การเร่งความเร็วที่ยอดเยี่ยมสำหรับไฟล์สแตติกไฟล์ขนาดเล็กเนื่องจากไม่มีการสลับบริบท

• มันจะแคชเอาต์พุตจากแอ็พพลิเคชันใด ๆ ที่ส่งต่อคำร้องขอ HTTP ไปที่และส่งคืนผลลัพธ์ที่เป็นเงินสด แอปพลิเคชั่นอยู่ในการควบคุมอย่างสมบูรณ์ว่าแคชนานเท่าใด (ถ้ามี)

Http.sys ถูกออกแบบมาเพื่อทำงานง่าย ๆ เร็วมากในขณะที่ส่งทุกอย่างไปยังกระบวนการในพื้นที่ของผู้ใช้

เพื่อตอบสนองต่อความคิดเห็น

"ความเสี่ยงต่ำเนื่องจากไม่สามารถเรียกใช้รหัสใด ๆ ที่จัดทำโดยบุคคลที่สาม" - นั่นคือสิ่งที่พวกเขาพูดเสมอและแทบไม่เคยเป็นจริงเลย

ปัญหาคือคุณต้องเชื่อว่า Microsoft จะเขียนรหัสเคอร์เนลที่ซับซ้อนเพื่อถามคำถามนี้มิฉะนั้นคุณตัดสินใจที่จะไม่ใช้ windows สำหรับการโฮสต์เว็บเลย Http.sys เพิ่มความเสี่ยงของข้อบกพร่องเคอร์เนลน้อยมากเนื่องจากความซับซ้อนของเคอร์เนลอยู่แล้ว

หากมีสิ่งใด Http.sys ช่วยลดความเสี่ยงเนื่องจากมีการแยกอย่างชัดเจนด้านล่าง "ระดับต่ำ" การให้บริการเว็บและรหัสแอปพลิเคชัน

ในการตั้งค่าที่ออกแบบมาอย่างดีเครื่อง (หรือเซิร์ฟเวอร์เสมือน) ที่เรียกใช้เว็บเซิร์ฟเวอร์นั้นมีการเข้าถึงเครือข่ายที่เหลือ จำกัด อย่าง จำกัด เนื่องจากเป็นเป้าหมายที่มีความเสี่ยงสูง มันแตกต่างกันเล็กน้อยหากเคอร์เนลหรือเว็บเซิร์ฟเวอร์โหมดผู้ใช้แฮ็กเนื่องจากเซิร์ฟเวอร์ไม่ควรมี "สิทธิ" เพิ่มเติมในเครือข่ายจากนั้นกระบวนการโหมดผู้ใช้เว็บเซิร์ฟเวอร์จะต้องทำงาน